欢迎来到010在线作文网!

贵州广电网络总体安全规划研究论文(2)

实用文 时间:2021-08-31 手机版

2安全保陳方案规划

  2.1总体设计

  贵州广电网络的安全体系作为信息安全的技术支撑措施,分为五个方面:

  边界防护体系:安全域划分,边界访问控制策略的部署,主要是业务核心资源的边界,运维人员的访问通道。

  行为审计体系:通过身份鉴别、授权管理、访问控制、行为曰志等手段,保证用户行为的合规性。

  安全监控体系:监控网络中的异常,维护业务运行的安全基线,包括安全事件与设备故障,也包括系统漏洞与升级管理。

  公共安全辅助:作为整个网络信息安全的基础服务系统,包括身份认证系统、补丁管理系统以及漏洞扫描系统等。

  IT基础设施:提供智能化、弹性服务能力的基础设施,主要的机房的智能化、服务器的虚拟化、存储的虚拟化等。

  2.2安全域划分

  划分安全域的方法是首先区分网络功能区域,服务器资源区、网络连接区、用户接入区、运维管理区、对外公共服务区;其次是在每个区域中,按照不同的安全需求区分不同的业务与用户,进一步划分子区域;最后,根据每个业务应用系统,梳理其用户到服务器与数据库的网络访问路径,通过的域边界或网络边界越少越好。

  Z3边界防护体系规划

  边界包括网络边界、安全域边界、用户接口边界(终端与服务器)、业务流边界,边界上部署访问控制措施,是防止非授权的“外部”用户访问“里面”的资源,因此分析业务的访问流向,是访问控制策略设计的依据。

  2.3.1边界措施选择

  在边界上我们建议四种安全措施:

  1.网络边界:与外部网络的边界是安全防护的重点,我们建议采用统一安全网关(UTM),从网络层到应用层的安全检测,采用防火墙(FW)部署访问控制策略,采用入侵防御系统(IPS)部署对hacker入侵的检测,采用病毒网关(AV)部署对病毒、木马的防范;为了方便远程运维工作,与远程办公实施,在网络边界上部署VPN网关,对远程访问用户身份鉴别后,分配内网地址,给予限制性的访问授权。Web服务的SQL注入、XSS攻击等。

  3.业务流边界:安全需求等级相同的业务应用采用VLAN隔离,采用路由访问限制策略;不同部门的接入域也采用VLAN隔离,防止二层广播,通知可以在发现安全事件时,开启不同子域的安全隔离。

  4.终端边界:重点业务系统的终端,如运维终端,采用终端安全系统,保证终端上系统的安全,如补丁的管理、黑名单软件管理、非法外联管理、移动介质管理等等。

  2.3.2策略更新管理

  边界是提高入侵者的'攻击“门槛”的,部署安全策略重点有两个方面:一是有针对性。允许什么,不允许什么,是明确的;二是动态性。就是策略的定期变化,如访问者的口令、允许远程访问的端口等,变化的周期越短,给入侵者留下的攻击窗口越小。

  2.4行为审计体系规划

  行为审计是指对网络用户行为进行详细记录,直接的好处是可以为事后安全事件取证提供直接证据,间接的好处乇两方面:对业务操作的日志记录,可以在曰后发现操作错误、确定破坏行为恢复时提供操作过程的反向操作,最大程度地减小损失;对系统操作的日志记录,可以分析攻击者的行为轨迹,从而判断安全防御系统的漏洞所在,亡羊补牢,可以弥补入侵者下次入侵的危害。

  行为审计主要措施包括:一次性口令、运维审计(堡垒机)、曰志审计以及网络行为审计。

  2.5安全监控体系规划

  监控体系不仅是网络安全态势展示平台,也是安全事件应急处理的指挥平台。为了管理工作上的方便,在安全监控体系上做到几方面的统一:

  1.运维与安全管理的统一:业务运维与安全同平台管理,提高安全事件的应急处理速度。

  2.曰常安全运维与应急指挥统一:随时了解网络上的设备、系统、流量、业务等状态变化,不仅是日常运维发现异常的平台,而且作为安全事件应急指挥的调度平台,随时了解安全事件波及的范围、影响的业务,同时确定安全措施执行的效果。

  3.管理与考核的统一:安全运维人员的工作考核就是网络安全管理的曰常工作与紧急事件的处理到位,在安全事件的定位、跟踪、处理过程中,就体现了安全运维人员服务的质量。因此对安全运维平台的行为记录就可以为运维人员的考核提供一线的数据。

  安全监控措施主要包括安全态势监控以及安全管理平台,2.6公共安全辅助系统

  作为整个网络信息安全的基础服务系统,需要建设公共安全辅助系统:

  1.身份认证系统:独立于所有业务系统之外,为业务、运维提供身份认证服务。

  2.补丁管理系统:对所有系统、应用的补丁进行管理,对于通过测试的补丁、重要的补丁,提供主动推送,或强制执行的技术手段,保证网络安全基线。

  3.漏洞扫描系统:对于网络上设备、主机系统、数据库、业务系统等的漏洞要及时了解,对于不能打补丁的系统,要确认有其他安全策略进行防护。漏洞扫描分为两个方面,一是系统本身的漏洞,二是安全域边界部署了安全措施之后,实际用户所能访问到的漏洞(渗透性测试服务)。

  2.7IT基础设施规划

  IT基础设施是所有网络业务系统服务的基础,具备一个优秀的基础架构,不仅可以快速、灵活地支撑各种业务系统的有效运行,而且可以极大地提高基础IT资源的利用率,节省资金投入,达到环保的要求。

  IT基础设施的优化主要体现在三个方面:智能机房、服务器虚拟化、存储虚拟化。

3安全筐理体系规划

  在系统安全的各项建设内容中,安全管理体系的建设是关键和基础,建立一套科学的、可靠的、全面而有层次的安全管理体系是贵州省广播电视信息网络股份有限公司安全建设的必要条件和基本保证。

  3_1安全管理标准依据

  以GBAT22239-2008《信息安全技术信息系统安全等级保护基本要求》中二级、三级安全防护能力为标准,对贵州广电网络安全管理体系的建设进行设计。

  3.2安全管理体系的建设目标

  通过有效的进行贵州广电网络的安全管理体系建设,最终要实现的目标是:采取集中控制模式,建立起贵州广电网络完整的安全管理体系并加以实施与保持,实现动态的、系统的、全员参与的、制度化的、以预防为主的安全管理模式,从而在管理上确保全方位、多层次、快速有效的网络安全防护。

  3.3安全管理建设指导思想

  各种标准体系文件为信息安全管理建设仅仅提供一些原则性的建议,要真正构建符合贵州广电网络自身状况的信息安全管理体系,在建设过程中应当以以下思想作为指导:“信CATV丨有线网络息安全技术、信息安全产品是信息安全管理的基础,信息安全管理是信息安全的关键,人员管理是信息安全管理的核心,信息安全政策是进行信息安全管理的指导原则,信息安全管理体系是实现信息安全管理最为有效的手段。”

  3.4安全管理体系的建设具体内容

  GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》(以下简称《基本要求》)对信息系统的安全管理体系提出了明确的指导和要求。我们应以《基本要求》为标准,结合目前贵州广电网络安全管理体系的现状,对广电系统的管理机构、管理制度、人员管理、技术手段四个方面进行建设和加强。同时,由于信息安全是一个动态的系统工程,所以,贵州广电网络还必须对信息安全管理措施不断的加以校验和调整,以使管理体系始终适应和满足实际情况的需要,使贵州广电网络的信息资产得到有效、经济、合理的保护。

  贵州广电网络的安全管理体系主要包括安全管理机构、安全管理制度、安全标准规范和安全教育培训等方面。

  通过组建完整的信息网络安全管理机构,设置安全管理人员,规划安全策略、确定安全管理机制、明确安全管理原则和完善安全管理措施,制定严格的安全管理制度,合理地协调法律、技术和管理三种因素,实现对系统安全管理的科学化、系统化、法制化和规范化,达到保障贵州广电网络信息系统安全的目的。

  3.5曰常安全运维3.5.1安全风险评估

  安全风险评估是建立主动防御安全体系的重要和关键环节,这环的工作做好了可以减少大量的安全威胁,提升整个信息系统的对网络灾难的免疫能力;风险评估是信息安全管理体系建立的基础,是组织平衡安全风险和安全投入的依据,也是信息安全管理体系测量业绩、发现改进机会的最重要途径。

  3.5.2网络管理与安全管理

  网络管理与安全管理的主要措施包括:出入控制、场地与设施安全管理、网络运行状态监控、安全设备监控、安全事件监控与分析、提出预防措施。

  3.5.3备份与容灾管理

  贵州广电网络主要关键业务系统需要双机本地热备、数据离线备份措施;其他相关业务应用系统需要数据离线备份措施。

  3.5.4应急响应计划

  通过建立应急相应机构,制定应急响应预案,通过建立专家资源库、厂商资源库等人力资源措施,通过对应急响应有线网络ICATV预案不低于一年两次的演练,可以在发生紧急事件时,做到规范化操作,更快的恢复应用和数据,并最大可能的减少损失

  3.6安全人员管理

  信息系统的运行是依靠在各级党政机构工作的人员来具体实施的,他们既是信息系统安全的主体,也是系统安全管理的对象。所以,要确保信息系统的安全,首先应加强人事安全管理。

  安全人员应包括:系统安全管理员、系统管理员、办公自动化操作人员、安全设备操作员、软硬件维修人员和警卫人员。

  其中系统管理员、系统安全管理员必须由不同人员担当。3.7技术安全管理

  主要措施包括:软件管理、设备管理、备份管理以及技术文档管理。4安全规划分期建设路线

  信息安全保障重要的是过程,而不一定是结果,重要的是安全意识的提高,而不一定是安全措施的多少。因此,信息安全建设也应该从保障业务运营为目标,提高用户自身的安全意识为思路,根据业务应用的模式与规模逐步、分阶段建设,同时还要符合国家与广电总局关于等级保护的技术与管理要求。

  4.1主要的工作内容

  根据安全保障方案规划的设计,贵州广电网络的信息安全建设分为如下几个方面的内容:

  1.网络优化改造:主要是安全域的划分,网络结构的改造。

  2.安全措施部署:边界隔离措施部署,行为审计系统部署、安全监控体系部署。

  3.基础设施改造:主要是数据大集中、服务器虚拟化、存储虚拟化。

  4.安全运维管理:信息安全管理规范、日常安全运维考核、安全检查与审计流程、安全应急演练、曰常安全服务等。

  4.2分期建设规划

  4_2.1达标阶段(2015-2017)

  1.等保建设

  2.信任体系:网络审计、运维审计、日志审计

  3.身份鉴别(一次口令)

  4.监控平台:入侵检测、流量监测、木马监测

  5.安全管理平台建设

  6.等保测评通过(2级3级系统)

  7.安全服务:建立定期模式

  8.渗透性测试服务(外部+内部)

  9.安全加固服务,建立服务器安全底线

  10.信息安全管理

  11.落实安全管理细则文件制定

  12.落实安全运维与应急处理流程

  13.完善IT服务流程,建设安全运维管理平台

  14.定期安全演练与培训

  4.2.2持续改进阶段(2018?2019)

  1.等保建设

  2.完善信息安全防护体系

  3.提升整体防护能力

  4.深度安全服务

  5.有针对性安全演练,协调改进管理与技术措施

  6.源代码安全审计服务(新上线业务)

  7.信息安全管理

  8.持续改进运维与应急流程与制度,提高应急反应能力

  9.提高运维效率,开拓运维增值模式

5结東语

  本文对贵州广电网络信息系统建设进行了整体安全体系规划研究,通过技术保障和管理制度两方面建立起可靠有效的安全体系,对广播电视系统的信息安全建设具有重要的参考意义。

【贵州广电网络总体安全规划研究论文】相关文章:

1.现行规划体系下总体城市设计研究论文

2.广电网络的EMAN实现路径研究性论文

3.广电网络实践论文

4.城市林业发展总体规划思考论文

5.关于总体规划的批复

6.物资管理系统总体设计研究论文

7.便携式侦察机的总体设计与研究论文

8.安全教育研究论文


本文来源http://www.010zaixian.com/shiyongwen/2300772.htm
以上内容来自互联网,请自行判断内容的正确性。若本站收录的信息无意侵犯了贵司版权,请给我们来信(zaixianzuowenhezi@gmail.com),我们会及时处理和回复,谢谢.